Règlements à l’international : gare aux prédateurs !

Modification de coordonnées bancaires, arnaque au président, vol de données par intrusion…, les techniques des fraudeurs sont simples mais font mouche. Dans la pratique bancaire internationale, il n’y a pas encore de garanties couvrant les cas de fraude de ce genre.

La récente fraude détectée par le conseil d’administration d’Aluminium du Maroc a remis à la surface les risques qui peuvent peser sur les règlements à l’international. Dans les faits, la société a été victime d’une escroquerie au faux IBAN au cours du premier trimestre. La somme en jeu n’est pas négligeable: plus de 45 MDH ! Pour régler un de ses principaux fournisseurs, le spécialiste de l’aluminium procédait par virements bancaires. Les coordonnées du compte bancaire de destination ont été manipulées de telle sorte que les virements finissent au crédit du compte d’un tiers à l’origine de la manipulation. Selon des sources du secteur bancaire, l’origine de la fraude serait une série de mails adressés à la société pour changer les coordonnées du compte bancaire habituel du fournisseur. Le changement aura été fait sans authentification des boîtes de messagerie émettrices.

Il faut dire qu’il ne s’agit pas d’un incident isolé. Beaucoup de règlements commerciaux à l’international se font sans que les protagonistes pèsent les risques énormes qu’ils comportent. Et les techniques de vol sont variées. De grandes entreprises étrangères (LVMH, Total, Nestlé, Michelin, Areva…) ont été victimes -ou en ont échappé- de ce que l’on appelle en France «l’arnaque au président» ou escroquerie aux faux ordres de virement (FOVI). Cette technique consiste à convaincre un proche du patron de l’entreprise à effectuer en urgence, à la demande de ce dernier, un virement significatif à un tiers pour régler une dette ou en guise de provision pour une commande ou autre opération que l’entreprise est habituée à effectuer. Il va sans dire que les fraudeurs connaissent par avance toutes les habitudes en matière de paiement de l’entreprise victime. L’argent atterrit souvent dans des comptes logés dans des pays de l’Est ou à Hong-Kong.

L’une des dernières affaires qui a défrayé la chronique est le vol de 81 millions de dollars dont a été victime la Banque centrale du Bangladesh. Des aigrefins s’étaient introduits dans son système informatique pour dérober des certificats autorisant des transferts de fonds depuis un compte ouvert à la Réserve fédérale des Etats-Unis. Seule une simple faute de frappe dans l’ordre de virement vers des comptes aux Sri-Lanka et aux Philippines, détectée fortuitement par des employés de banque très vigilants, les a empêchés de réaliser un forfait qui devait leur rapporter un milliard de dollars au final. On est là face à une autre variante qui peut aussi arriver à une entreprise ordinaire. D’où l’intérêt de veiller à sa sécurité informatique.

Le mail n’a pas de valeur juridique certaine

«Lorsque de pareils cas éclatent, les parties prenantes sont souvent surprises d’avoir agi jusque-là de la sorte sans penser à verrouiller leurs procédures», relève un responsable du département international d’une grande banque de la place. Selon lui, les services de sa banque ont été alertés au cours des trois derniers mois sur une hausse significative des demandes de changement de coordonnées bancaires des partenaires de leurs clients exécutés sur de simples mails. Pour la majorité de ces requêtes, la demande émane réellement des fournisseurs qui préfèrent recevoir leurs règlements sur d’autres comptes pour des considérations de gestion de trésorerie et de répartition des recettes entre les comptes. Cependant, des requêtes frauduleuses peuvent se glisser, à l’image de celle reçue par Aluminium du Maroc.

Un directeur financier d’un groupe relève en substance que l’utilisation des mails dans le cadre des transactions commerciales est une pratique très répandue, mais qui contient des risques opérationnels majeurs. «Les mails ont pris de l’ampleur dans les échanges commerciaux. Leur apport est avéré quant à la fluidification des opérations commerciales au quotidien. Il n’en demeure pas moins qu’ils ne se substituent en aucun cas aux documents signés en bonne et due forme par les représentants légaux, seuls à avoir une force exécutoire», explique, pour sa part, Karim Kortbi, responsable de la veille réglementaire internationale chez Crédit du Maroc. Abondant dans le même sens, Amine Hajji, avocat au barreau de Casablanca, explique qu’un mail ne peut pas suffire pour exécuter des instructions de règlement qu’elles soient principales ou accessoires. Il n’a pas de valeur juridique. «Il peut servir à expliquer, orienter, mais en aucun cas à exécuter», note l’avocat. Dans le même registre, il ajoute que la banque a un devoir de vigilance en sa qualité de délégataire de l’Office des changes. Elle doit faire les vérifications d’usage et, en agissant de la sorte, dégage toute responsabilité par rapport au dénouement des transactions. Les banquiers ajoutent qu’ils sont aussi investis d’une mission de conseil dans les règlements à l’international. «Le risque pèse aussi sur les établissements de crédit surtout s’ils ont financé l’opération objet du règlement concerné par la fraude, en totalité ou en partie», souligne M. Kortbi.

Le Swift est le moyen le plus sûr pour authentifier les changements d’IBAN

La seule voie de recours qui s’offre à la victime est d’intenter une action en justice via un avocat dans le pays où a eu lieu la manipulation ayant abouti à la fraude. La procédure est ensuite ouverte pour détournement ou escroquerie. Toutefois, la banque peut se rattraper chemin faisant si l’opération est en cours avant que les fonds ne soient débités du compte de son client. Sinon, «dans la pratique bancaire internationale, il n’y a pas à ce jour de garanties couvrant les cas de fraude de ce genre. Seuls le risque commercial et le risque pays sont pris en charge par les assureurs», informe M. Kortbi. Par contre, le risque de fraude sur les règlements faits par cartes bancaires à l’insu de la société et les fautes démontrées commises par le personnel de la banque sont bordées de garanties, et engagent de plein droit la responsabilité de la banque qui finit par réparer le préjudice dans ces cas de figure.

Pour se prémunir contre les risques contenus dans les règlements à l’international, notamment les virements et les remises documentaires (les Credocs et les lettres de crédit stand-by sont à zéro risque puisque opérées entre banques émettrice et correspondante), les banquiers recommandent avec insistance de vérifier rigoureusement les adresses des e-mail et appeler directement le partenaire commercial pour s’assurer auprès de ses représentants légaux. «Les messages Swift restent le moyen le plus sûr car c’est un formalisme bancaire sécurisé, modélisé et hautement crypté», conseille M. Hajji. Dans la même veine, M. Kortbi assure que l’idéal est que tous les échanges, notamment le changement de domiciliation bancaire et les ordres de paiement transmis par mail se passent par des Swift authentifiés par les banques confirmant l’IBAN.

Cela dit, une solution développée par Poste Maroc devra bientôt améliorer, au niveau local, la sécurité dans les échanges électroniques. La nouvelle offre, appelée e-sign, permet d’authentifier les signatures électroniques dans tous les types d’échanges d’information et de documents numérisés sur des plateformes d’échanges de données commerciales. «Elle aidera les opérateurs à migrer vers la signature électronique surtout avec la dématérialisation générale des procédures du commerce extérieur en cours», commente M. Kortbi.

Les exportateurs étrangers exigent des garanties bancaires pour assurer leur paiement, surtout lorsque le fournisseur a une position de force dans la négociation commerciale. Par exemple, les importateurs de produits pétroliers règlent en majorité par credoc et lettres de crédit stand-by. Ce moyen de règlement est entièrement sécurisé puisque ce sont les banques du fournisseur et de son client qui se chargent du dénouement de la transaction. Tous les échanges se passent par Swift authentifié, même les modifications de conditions commerciales les plus accessoires. Mais, le coût pour l’opérateur national reste très élevé, de l’aveu même des banquiers. En moyenne, il faut compter 2,5% de la valeur de la marchandise. Le prix peut aller jusqu’à 2,8%. Par exemple, pour une importation de 3,5 MDH, le coût du Credoc se monte à 100 000 DH, tous frais compris ! Le virement simple et la remise documentaire comportent quelques risques, surtout si les parties prenantes ne suivent pas les procédures, mais sont bien moins cher. Sur le marché, le virement revient à 1,5 pour mille de la transaction en moyenne et la remise documentaire à 1,7%.